Cela fait de nombreux mois déjà que la firme de Mountain View pousse les éditeurs de sites web à sécuriser leurs applicatifs. Concrètement, cela consister à chiffrer les données échangées entre les serveurs et les internautes (« crypter ») lors de la consultation des pages. En pratique, l’identifiable d’un site sécurisé est possible au travers de plusieurs composants de l’interface du navigateur web.
Et pour forcer au déploiement du HTTPS, Google a procédé par étape grâce à Chrome.
Identification des sites internet sécurisés
L’enjeu initial était de faire en sorte que les sites sécurisés soient facilement identifiés par les internautes.
Tel que visible sur la capture ci-dessus, plusieurs éléments au niveau de la barre d’adresse signifient aux internautes que les données qu’ils saisissent sont sécurisées lors de l’envoi aux serveurs :
- Protocole HTTPS en vert dans l’URL
- Le pictogramme cadenas vert
- Le libellé Sécurisé, également en vert
Sans surprise, de nombreux sites marchands ont alors sauté le pas afin de proposer un élément rassurant supplémentaire à leurs clients.
Le HTTPS est désormais la norme, les sites HTTP pointés du doigt
En step 2, Google Chrome identifie depuis ce mois de juillet les sites HTTP via la mention Non sécurisé en gris, en lieu et place du rassurant label Sécurisé vert pour les sites HTTPS. Elément pouvant même passer en rouge lors d’interactions critiques comme une authentification (incluant un mot de passe) ou un paiement (incluent un numéro de carte de crédit).
Du côté des sites en HTTPS devenus la norme, deux éléments rassurants devraient disparaître à partir de la rentrée 2018 (Chrome 69), à savoir le libellé Sécurisé vert, et la couleur verte du pictogramme cadenas.
Toute notion de sécurité accrue pourrait d’ailleurs à terme disparaître du navigateur internet, pour ne même plus afficher le cadenas. Un retour à une interface sobre. Aucune date n’est cependant encore fixée pour ce dernier point.
Ca y est, depuis Google Chrome 69 déjà disponible sur le canal de développement, la mention Sécurisé a disparue, mais le protocole HTTPS et le cadenas resté vert sont toujours affichés contrairement à l’image officielle ci-dessus :
Parallèlement, le libellé Non sécurisé gris est bien affiché dans la barre d’adresse pour les sites accessibles en HTTP. Au clic sur l’alerte, Chrome propose plus de détails :
Votre connexion à ce site n’est pas sécurisée.
Vous ne devriez pas saisir d’informations sensibles sur ce site (par exemple, vos mots de passe ou les informations de votre carte de paiement), car elles risquent d’être dérobées par des pirates informatiques.
Un pas de plus a été fait dans l’adoption du « un site sécurisé en HTTPS est désormais la norme ». Comme visible sur les captures ci-dessous comparées aux précédentes (sans prendre en compte le redesign de l’interface du navigateur Chrome), le protocole disparaît au même titre que la couleur verte.
Et pour les sites non-sécurisés qui ne chiffrent pas les données échangées entre le serveur et les internautes, soit toujours en HTTP, le message est bien visible dans la barre d’adresse juste avant le nom de domaine ; et ceci qu’il y ait ou non des champs de saisie sur le site pour s’authentifier, payer ou autre. Tout le monde est désormais logé à la même enseigne à ce niveau.
